Das US-Justizministerium (DoJ) hat eine groß angelegte Operation zur Zerschlagung gleich mehrerer IoT-Botnets bekanntgegeben. Die Netze mit den Namen AISURU, Kimwolf, JackSkid und Mossad missbrauchten weltweit Millionen vernetzter Geräte für hyper-volumetrische DDoS-Attacken im zweistelligen Terabit-Bereich. Der Fall zeigt eindrücklich, wie verwundbar das Internet der Dinge ist – und welche Folgen mangelnde Sicherheitsstandards für Unternehmen wie für Privathaushalte haben können.
Internationale Operation gegen IoT-Botnets und enge Einbindung der Cloud-Anbieter
Laut DoJ basierte die Maßnahme auf richterlichen Anordnungen und wurde in enger Kooperation mit Strafverfolgern aus Kanada und Deutschland durchgeführt. Parallel laufen in beiden Ländern Ermittlungen gegen mutmaßliche Betreiber der Botnets. Zentral war dabei die Zusammenarbeit mit globalen Infrastrukturanbietern: Akamai, Amazon Web Services (AWS), Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Team Cymru, QiAnXin XLab und weitere stellten Netzwerktelemetrie bereit, halfen beim Identifizieren von Command-and-Control-Servern (C2) und unterstützten die technische Neutralisierung der Infrastruktur.
Rekord-DDoS: Angriffe mit bis zu 31,4 Tbit/s und Milliarden Paketen pro Sekunde
Die vier Botnets führten weltweit DDoS-Angriffe mit Spitzenlasten von rund 30 Tbit/s aus – ein Wert, der die bislang üblichen Höchststände in der Branche deutlich übersteigt. Cloudflare meldete für das Botnet AISURU/Kimwolf eine Attacke mit 31,4 Tbit/s, die zwar nur etwa 35 Sekunden dauerte, aber ausreichte, um selbst robuste Infrastrukturen massiv zu belasten. Beobachtet wurden zudem Kampagnen mit bis zu 3 Milliarden Paketen pro Sekunde (Bpps), rund 4 Tbit/s Gesamttraffic und etwa 54 Millionen HTTP-Anfragen pro Sekunde. Akamai verzeichnete in der Summe Angriffe von über 30 Tbit/s mit bis zu 14 Milliarden Paketen pro Sekunde und über 300 Millionen Anfragen pro Sekunde, teils verbunden mit Erpressungsversuchen gegenüber den Zielorganisationen.
Mirai-Varianten im Einsatz: Millionen IoT-Geräte unter Kontrolle
Technisch handelt es sich bei AISURU, Kimwolf, JackSkid und Mossad um Weiterentwicklungen des Mirai-Botnets, das seit 2016 als Blaupause für IoT-Malware gilt. Mirai-Varianten scannen das Internet nach unsicheren Geräten – typischerweise IP-Kameras, DVRs, Router und andere IoT-Systeme – und kompromittieren sie über Standardpasswörter oder bekannte Schwachstellen. Im aktuellen Fall wurden laut DoJ mindestens 3 Millionen Geräte weltweit infiziert, davon mehrere hunderttausend in den USA. Die enorme Anzahl verteilter Angreiferknoten erklärt die außergewöhnliche Schlagkraft der beobachteten DDoS-Wellen.
Neuer Angriffsvektor: Residential-Proxys und Durchbruch in Heimnetze
Besonders kritisch ist die Funktionsweise des Botnets Kimwolf, das das klassische Mirai-Modell erweitert. Statt nur das offene Internet zu scannen, nutzten die Täter gezielt residential proxy-Netzwerke, die Datenverkehr über Geräte in Heim- und Büronetzen leiten. Wie von AWS-Experten analysiert, kompromittierte Kimwolf unter anderem Streaming-TV-Boxen auf Android-Basis und andere Smart-Devices und drang so in interne Heimnetze vor, die normalerweise durch NAT und Firewalls vor direktem Zugriff aus dem Internet geschützt sind. Ein weiteres, mit der Gruppe verbundenes Botnet umfasste mehr als 2 Millionen Android-Geräte, hauptsächlich günstige oder „No-Name“-Android-TV-Boxen mit veralteter oder unsicherer Firmware sowie zusätzliche DVRs, IP-Kameras und WLAN-Router.
Cybercrime-as-a-Service: DDoS aus gemieteten Botnets
Nach Erkenntnissen des US-Justizministeriums zielten insbesondere die Gruppen hinter Kimwolf und JackSkid bewusst auf Geräte, die als „hinter der Firewall versteckt“ gelten. Nach der Infektion wurden die Systeme zu vollwertigen Bot-Knoten, auf die andere Täter im Modell „Cybercrime-as-a-Service“ zugreifen konnten. Über entsprechende Untergrundforen wurden DDoS-Kapazitäten vermietet, etwa zur Überlastung konkurrierender Online-Angebote oder zur Erpressung von Unternehmen, die Zahlungen im Austausch gegen das Ende der Angriffe leisten sollten. Dieses Geschäftsmodell erhöht die Professionalität und Skalierbarkeit moderner DDoS-Kampagnen deutlich.
Fokus auf Infrastruktur-Takedown und schwierige Täteridentifikation
Im Rahmen der Operation liegt der Schwerpunkt zunächst auf der technischen Zerschlagung der C2-Infrastruktur: Domain-Sperren, Abschalten von Servern und Umlenken bzw. Filtern von Botnet-Traffic. Dieses Vorgehen ist üblich, da die forensische Attribution und strafrechtliche Verfolgung der Betreiber häufig erheblich mehr Zeit beansprucht als das Abschalten der Infrastruktur. Medienberichte bringen den mutmaßlichen Kimwolf-Administrator mit einem 23-jährigen Mann aus Ottawa sowie einem 15-jährigen Jugendlichen aus Deutschland in Verbindung; offizielle Angaben zu Festnahmen liegen derzeit jedoch nicht vor. Der Fall unterstreicht, dass Akteure zunehmend jünger sind und dennoch Zugriff auf hochgradig wirksame Angriffswerkzeuge haben.
Konkrete Risiken und Handlungsempfehlungen für Unternehmen und Privatanwender
DDoS-Angriffe im Bereich von Zehn bis über 30 Tbit/s können nicht nur einzelne Webangebote, sondern ganze Netzsegmente betroffener Provider beeinträchtigen. Unternehmen drohen Ausfälle kritischer Online-Services, Umsatzverluste und erhebliche Reputationsschäden. Für Privatnutzer besteht das Risiko vor allem darin, dass Smart-TVs, Android-TV-Boxen, IP-Kameras oder Router unbemerkt Teil eines Botnets werden – mit zusätzlicher Bandbreitenbelastung, erweiterter Angriffsfläche im Heimnetz und potenzieller strafrechtlicher Relevanz, wenn von diesen Geräten Angriffe ausgehen. Sicherheitsmaßnahmen wie das Ändern von Standardpasswörtern, regelmäßige Firmware-Updates, Deaktivieren unnötiger Dienste sowie die Trennung von Heim- und Gast-WLAN reduzieren das Risiko signifikant. Unternehmen sollten in DDoS-Schutzlösungen, Traffic-Monitoring und belastbare Vereinbarungen mit Cloud- und Netzbetreibern investieren, die Kapazitäten im Terabit-Bereich bereitstellen können.
Die Abschaltung von AISURU, Kimwolf, JackSkid und Mossad ist ein wichtiger Erfolg, löst das strukturelle Problem aber nicht: Unsichere IoT- und Android-Geräte bleiben ein attraktives Ziel, und neue Mirai-Varianten werden folgen. Entscheidend ist daher, dass Hersteller Sicherheitsupdates konsequent bereitstellen, Unternehmen ihre Angriffsfläche und Resilienz gegen DDoS-Attacken systematisch bewerten und Privatanwender einfache Basishygiene im Heimnetz umsetzen. Wer heute seine IoT-Geräte härtet und DDoS-Abwehr in die eigene Sicherheitsstrategie integriert, verringert nicht nur das eigene Risiko, sondern trägt aktiv dazu bei, die Schlagkraft der nächsten Botnet-Generation zu begrenzen.
